Dans une décision récente rendue le 26.11.2020,¹ la Cour administrative fédérale autrichienne (BundesverwaltungsgerichtLa Cour de justice des Communautés européennes a annulé une amende de 18 millions d'euros infligée au service postal autrichien (APS) par l'autorité autrichienne de protection des données (DPA). L'affaire porte sur les mêmes faits que ceux examinés par le BVwG dans une décision distincte.² Dans cette affaire, la Cour a confirmé la sanction administrative imposée par la DPA à l'encontre de l'APS, qui avait été accusée de traiter et de vendre illégalement à des tiers, à des fins de marketing, des données personnelles de clients, telles que des adresses privées et des allégeances politiques supposées.

Dans la décision en question, le BVwG a reconnu le caractère illégal de la conduite d'APS, mais a annulé la sanction du DPA, en raison de son omission d'établir que des personnes morales et physiques, agissant pour le compte d'APS, étaient responsables de la culpabilité en question.

Faits

Les origines factuelles de l'affaire remontent à un rapport de la plateforme journalistique Addendum en janvier 2019,³ indiquant qu'en plus des informations sur les adresses privées, le sexe et l'âge, l'éducation ainsi que les préférences en matière d'investissements ou de dons, l'APS avait également collecté des données sur les tendances politiques perçues d'environ 3 millions de clients.⁴

Après une enquête d'office, le DPA :

• Conclu que la conduite consistant à s'enquérir des facteurs sociodémographiques et à traiter les informations relatives aux préférences politiques d'une personne sans aucune base légale, qualifie de catégorie spéciale de données à caractère personnel conformément à l'article 9, paragraphe 1, du règlement général sur la protection des données (règlement (UE) 2016/679) (RGPD), nécessitant ainsi l'approbation explicite préalable de la partie concernée (article 9, paragraphe 2, point a), du RGPD ; § 151, paragraphe 4). Gewerbeordnung, GewO) ;

• a ordonné la fin du traitement des données et la suppression des informations déjà recueillies dans un délai de deux semaines ;

• Estimé que la FPA n'a pas effectué une analyse d'impact sur la protection des données adéquate (avant le 25.05.2018), car elle a omis, à tort, de considérer l'affiliation politique comme une catégorie particulière de données à caractère personnel.

L'APS a répondu par voie d'appel, arguant que les informations sur les affinités politiques d'un particulier ne pouvaient être qualifiées de données à caractère personnel étant donné que ces informations sont recueillies par le biais de sondages anonymisés délivrant des projections générales. Étant donné que ces calculs de probabilité ne peuvent pas être rectifiés (article 16 du GDPR), ils sont considérés comme des informations de marketing et une classification conformément à l'article 151(6) du GewO. Pourtant, il a été ajouté que même s'ils étaient considérés comme des données à caractère personnel, ils ne pouvaient être qualifiés de catégorie spéciale de ces dernières.

Pas plus tard qu'en novembre, le BVwG a confirmé la décision de la DPA et a estimé que le traitement des données relatives aux affinités avec un parti politique constituait une donnée à caractère personnel au sens de l'article 4, paragraphe 1, du GDPR. Étant donné que les informations obtenues pourraient être attribuées à une personne privée spécifiquement identifiable, dont les convictions politiques doivent être protégées contre la discrimination conformément à l'article 9 du GDPR, elles doivent être traitées comme une catégorie spéciale de données à caractère personnel, nécessitant ainsi un consentement préalable. Cette partie de la décision est actuellement pendante devant la Cour de justice des Communautés européennes. Cour administrative suprême d'Autriche (Verwaltungsgerichtshof), VwGH).

La question examinée dans cet article concerne toutefois un aspect juridique différent de la même affaire.

Sur la base des faits décrits ci-dessus, l'affaire est centrée sur la violation présumée par l'APS des articles 5(1), 6(2), 6(4), 9, 14, 30, 35 et 36 du GDPR. Elle fait suite à un recours introduit par la SPA, fondé sur l'argument selon lequel l'amende a été infligée sans que la culpabilité des personnes physiques agissant en son nom ait été établie (article 4, paragraphe 7, du GDPR).

Nous nous concentrerons ici sur la récente décision du BVwG d'annuler l'amende de la DPA à la lumière des conclusions antérieures du VwGH. Dans cette décision, la Cour a estimé que le comportement factuel, illégal et coupable allégué doit également être imputable à une personne physique (article 44a VStG) pour qu'une personne morale puisse être tenue pour responsable.⁵

La question

Étant donné que le GDPR entend et prévoit effectivement une responsabilité directe des personnes morales sans avoir à prouver une faute individuelle d'une personne privée, le BVwG a dû considérer ce qui suit :

1. L'APD était-elle en droit d'imposer une amende en vertu de l'article 83 du GDPR à une personne morale en l'absence de démonstration d'un comportement coupable de la part d'une personne physique agissant pour le compte d'une entité juridique ?

2. Si les règles nationales de droit pénal administratif trouvent à s'appliquer ou si la question à l'étude doit être examinée à la lumière des règles du GDPR.

Décision

La Cour a estimé que l'amende de la DPA, imposée sur la base des dispositions de l'article 83 du GDPR, relève des dispositions de la loi autrichienne sur les sanctions administratives (Verwaltungsstrafgesetz(VStG) ainsi que la loi autrichienne sur la protection des données (Datenschutzgesetz, DSG). Les règles procédurales nationales sont applicables dans le cadre des amendes infligées en raison d'une violation au titre du GDPR, puisque l'article 83, paragraphe 8, dispose que : "L'exercice par l'autorité de contrôle de ses pouvoirs [...] est soumis à des garanties procédurales appropriées conformément au droit de l'Union et au droit des États membres, y compris un recours juridictionnel effectif et une procédure régulière.⁶

Elle a en outre établi que le DPA n'avait pas agi conformément aux articles 44a, 45 VStG ainsi qu'à l'article 30 DSG en omettant de prouver la culpabilité des personnes physiques qui avaient agi pour le compte de l'APS, telles que les personnes qui représentaient, exerçaient un contrôle ou prenaient des décisions pour le compte de cette dernière.

Commentaire

Bien que la sanction imposée à l'APS ait pu être annulée par le BVwG, sa décision est basée sur une erreur de formalité de la part de l'APD. En tant que telle, elle doit être traitée séparément et ne s'oppose pas à la décision antérieure du BVwG, dans laquelle il a été conclu que le traitement de données concernant les affinités personnelles pour un parti politique engage la responsabilité.

Notes de bas de page

1 Numéro de dossier : Numéro de dossier W258 2217446-1/14E. Disponible via : https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtsatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Numéro de dossier : Numéro de dossier W258 2217446-1/35E. Disponible via : https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=.
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift." AddendumLe 28 juillet 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [consulté le 10.12.2020].

4 Pour de plus amples informations, veuillez vous référer aux communiqués de presse tant de la poste autrichienne intitulés "Milestones and outlook for 2019 and 2020" (29.10.2019) que du Conseil européen de la protection des données intitulés "Administrative criminal proceedings of the Austrian data protection authority against Österreichische Post AG" (23.10.2019), disponibles via : https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Numéro de dossier R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Art. 83 GDPR - Conditions générales pour l'imposition d'amendes administratives". Règlement général sur la protection des données (RGPD), 29 mars 2018, gdpr-info.eu/art-83-gdpr/ [consulté le 14.12.2020].

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Il convient de demander l'avis d'un spécialiste sur votre situation particulière.